# 대구대학교 정보보호 영재교육원 고등전문A 2조 문정민(조장) 이은지 김승환 - 문정민(조장) : 김해경운중학교 3학년 - 이은지 : 대구 시지고등학교 2학년 - 김승환 : 대구 시지고등학교 2학년 - [IOT 특별호](https://www.skinfosec.com/happyFile/liveFile/eqstinsight-file/eqstinsight_201809_사물인터넷%20보안가이드(특별호).pdf?fileName=201812040818535Iep.pdf&boardSeq=103) - 전체적인 IOT 해킹 기술들과 방법들이 서술되어 있음. - 용어들이 어려운 것이 많고, Network / OS / Device / Application의 분야의 IOT 공격이 모두 있음 - [IOT 2019](https://www.skinfosec.com/happyFile/liveFile/eqstinsight-file/eqstinsight_2020_AnnualReport.pdf?fileName=20191205151920AWYE.pdf&boardSeq=1015) - IOT 해킹 간단한 설명 - 점점 IOT 해킹이 발전하고 위험해진다는 것을 설명함 - [IOT 해킹 어떻게 이루어지나[동영상]](https://www.youtube.com/watch?v=U96fmgb93Aw) - IOT 해킹에 대한 강연 영상 - [IOT 해킹 실제 사고[동영상]](https://www.youtube.com/watch?v=_BJSO6NX0_8) - 실제 외국이나 국내에서 일어나는 IOT 해킹 - [IOT 기기 해킹 사례 및 사생활 침해](http://blog.naver.com/skinfosec2000/221601902533) - 실생활에 일어나는 해킹 위주 --- # IOT 기기 설명 - IOT는 Internet of Things로,사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술. 즉, 무선 통신을 통해 각종 사물을 연결하는 기술을 의미한다. - IOT 기기는 날이 갈 수록 증가하고 있다. 2018년 기준 IOT기기가 70억개가 넘었으며 2025년도에는 200억개를 넘을것으로 추정됨. 2025년 약 1567억 달러까지 늘어날 것. - 그에 따른 보안 이슈들도 증가하고 있다. # IOT 기기들의 기초적인 보안 이슈? - 대부분은 초기 비밀번호 방치 - IOT 기기들에 장착이 된 카메라를 통한 사생활 침해 - 홈 네트워킹에 대한 해킹도 증가하고 있음.(가스벨브 조작, 전등 조작 등) - 대부분은 해커들이 뚫을 수 있고, 심지어는 일반인들도 쉽게 뚫을 수 있는 구조를 가지고 있어 무방비 상태에 놓여있다고 할 수 있음 # IOT 기기 해킹사례 - 2017년 2월 카메라와 마이크가 장착되어 아이와 부모간의 소통이 가능하게 했던 '클라우드팻츠 ' 라는 인형의 제작사가 사용자 정보 데이터베이스를 제대로 보안조치 하지 않고 관리하여 약 80만명 이상의 이메일과 패스워드가 유출, 아동과 부모간의 음성 메시지 데이터 또한 접근이 가능했었다. - 2018년 6월 부모가 아이를 확인하기 위해 많이 사용하는 베이비 모니터가 해킹당하여 한 가족의 사생활이 침해되었었던 사건이 있었다. - 2019년 1월 디지털 도어락의 취약점이 발견됨. 디자털 도어락을 사용하여 문을 열때 신호가 발생하는데, 그 신호를 해커가 캡쳐해 가져옴으로서 그대로 신호를 재사용해 문이 열렸다는 신호를 인위적으로 보낼 수 있음이 발견 # OWASP IOT Top 10 1. WEAK, GUESSABLE, OR HARDCODED PASSWORDS (추측 가능하거나 하드코딩이 된 암호) 2. INSECURE NETWORK SERVICES (불안전한 네트워크) 3. INSECURE ECOSYSTEM INTERFACES (불안전한 인터페이스) 4. LACK OF SECURE UPDATE MECHANISMS (보안 업데이트 부족) 5. USE OF INSECURE OR OUTDATED COMPONENTS (오래되거나 불안전한 요소 사용) 6. INSUFFICIENT PRIVACY PROTECTION (개인정보 보호 불충분) 7. INSECURE DATA TRANSFER AND STORAGE (불안전한 데이터 전송 및 저장) 8. LACK OF DEVICE MANAGEMENT (장치 관리 부족) 9. INSECURE DEFAULT SETTINGS (불안전한 기본 설정) 10. LACK OF PHYSICAL HARDENING (물리적 경화 부족) # IoT device attack - 장거리 통신 구간 공격 (Network Device) - Device <=> IOT간 통신에서 로그인폼 / 서비스 계정등의 정보가 SSL 적용을 하지 않고, 전송을 할 경우 공격자가 네트워크 스니핑과(컴퓨터 네트워크상에 흘러다니는 트래픽을 엿듣는 도청장치) 같은 방법으로 사용자의 개인정보 쉽게 변조 가능 (OWASP 7) - 취약한 인증 체계 사용 여부 (Network Device) - Device 제어 기능에 접근을 할 시, 인증이 취약한 방식 및 프로토콜을 통하여 구현 된 경우 인가가 되지 않은 사용자 접근을 가능하게 하여 디바이스의 제어권 장악 가능(OWASP ?) - 취약한 계정 관리(Device) - https://shodan.io 에 'webcam'을 검색하면, 각 실제 사용을 하고 있는 webcam이 표시 된다. 이것을 통하여, cctv를 확인할 수 있다. [관련 기사](http://www.cctvnews.co.kr/news/articleView.html?idxno=67900) (OWASP 1) - [관련 영상](https://youtu.be/_BJSO6NX0_8?t=18)을 통하여서 소개를 해도 될듯. # 미라이 악성 코드 - 미라이(Mirai) 봇넷이라는 악성코드를 만들어 셋탑박스, 공유기 등 보안이 허술한 다수의 IoT 기기들을 감염시켜 좀비로 만들고, 이를 바탕으로 대규모 디도스 공격을 - 공격 순서 - 첫 번째, 취약한 IoT 기기 스캔 및 접속, - 두 번째, 악성코드 전파 및 감염, - 세 번째, 좀비화 및 봇넷 구성, - 네 번째, 봇넷을 이용한 디도스 공격 # IoT device attack defence - 장거리 통신 구간 공격 (Network Device) - Device <=> IoT간의 통신에서 id, pw와 같은 개인의 주요 정보를 전송시 ssl 적용을 하고 암호화된 소켓 통신을 적용해 데이터의 안전성을 확보하여야 한다. - 취약한 인증 체계 사용 (Network Device) - 공개키 암호 방식의 개인키를 이용한 상호 인증을 수행한다. 보안 속성값, 보안 칩을 기반으로 제공하는 암호화 방식의 프로토콜을 통해 상호 인증 수행 - 취약한 계정 관리(Device) - 캠과 같이 사생활 침해가 가능한 IoT 기기를 구매할 시, 초기 비밀번호를 방치해 두지 말고 추측하기 어려운 비밀번호로 설정을 하여야 한다. # 결론? - 사물보안에 초점을 맞춘 SoT(Secuiry of Things)를 하루 빨리 대비